zurück zum Artikel

Angreifer nutzen Zero-Day-Lücke in Firefox

Daniel Bachfeld

Bei den Trojaner-Angriffen auf Windows-PCs von Besuchern der Webseite des Friedensnobelpreises haben Kriminelle eine bislang unbekannte Lücke in Firefox verwendet.

Bei den am Dienstag gemeldeten [1] Trojaner-Angriffen auf Windows-PCs von Besuchern der Webseite des Friedensnobelpreises haben Kriminelle eine bislang unbekannte Lücke in Firefox verwendet. Genaue Informationen zu der Lücke liegen noch nicht vor. Der Zugriff auf den Bugzilla-Datenbankeintrag [2] ist nur registrierten Entwicklern gestattet.

Dass Angreifer unbekannte Lücken in Firefox ausnutzen, kommt nicht besonders häufig vor. Mitte des vergangenen Jahres tauchte [3] zwar ein Zero-Day-Exploit für Firefox auf, der wurde aber zu dem Zeitpunkt noch nicht für aktive Angriffe missbraucht.

Die Mozilla Foundation hat den neuen Fehler für die Versionen 3.6 und 3.5 bestätigt [4] und stuft ihn als kritisch ein. Der Hersteller arbeitet an einem Patch; bis dahin empfiehlt er, JavaScript zu deaktivieren oder das Plug-in NoScript zu verwenden, um Angriffe ins Leere laufen zu lassen.

Zwar ist die Webseite des Friedensnobelpreises mittlerweile desinfiziert, die Mozilla Foundation vermutet jedoch, dass bereits andere Webseiten den Exploit enthalten und zur Verteilung von Malware benutzen. Wieviele Anwender dem Angriff zum Opfer fielen, ist unbekannt.

Nach Analysen [5] von Trend Micro versucht der Exploit jedoch, nur ältere Windows-Versionen mit Firefox 3.6.x zu infizieren. Bei Windows 7 und Vista (die der Exploit am Browser-Header erkennt) bleibt der Exploit inaktiv – vermutlich weil er dort zu viele Sicherheitshürden nehmen müsste. Der Exploit installiert eine Backdoor (BKDR_NINDYA.A.), die mit verschiedenen Servern Kontakt aufnimmt. (dab [6])

URL dieses Artikels:
https://www.heise.de/-1126096

Links in diesem Artikel:
[1] https://www.heise.de/news/Trojaner-Angriff-auf-Homepage-des-Friedensnobelpreises-1125976.html
[2] https://bugzilla.mozilla.org/show_bug.cgi?id=607222
[3] https://www.heise.de/news/Erster-Zero-Day-Exploit-fuer-Firefox-3-5-5949.html
[4] http://blog.mozilla.com/security/2010/10/26/critical-vulnerability-in-firefox-3-5-and-firefox-3-6/
[5] http://blog.trendmicro.com/firefox-zero-day-found-in-compromised-nobel-peace-prize-website/
[6] mailto:dab@ct.de

Copyright © 2010 Heise Medien